Truffa Man In The Mail: violazione casella o spoofing ?

Di certo non è una novità, sono anni che questo tipo di truffa si è ritagliata il proprio angolo nelle statistiche sugli attacchi informatici e nonostante i passi avanti sulle tecnologie per la sicurezza continua ad essere presente.

Il motivo è solo uno, come il Phishing non si tratta di un attacco ad un sistema informatico bensì di un attacco all’utente, che ha lo scopo di sfruttare la sua identità per condurre la vittima finale ad eseguire l’azione voluta.

Per questo è una truffa e in quanto tale può essere condotta nei più svariati modi e quello di cui stiamo parlando è solo uno di essi, un tempo erano personali, analogici, ora sono digitali e permettono al truffatore di restare nell’ombra invece di esporsi in prima persona.

Quando l’identità altrui viene sfruttata attraverso la casella di posta elettronica si parla di “Man In The Mail” e il caso più frequente è quello dell’intercettazione delle fatture che un’azienda invia ai propri clienti, lo scopo è di inserirsi prontamente nella corrispondenza per comunicare una variazione delle coordinate di pagamento.

I truffatori sono in grado di intervenire a volo perché l’opera di spionaggio in realtà è in atto da tempo, durante il quale hanno prodotto una copia perfetta della fattura con l’IBAN modificato. Sia il carattere che lo stile di scrittura sono uguali, i messaggi vengono inviati dallo stesso indirizzo mail oppure da uno estremamente simile, tanto da ingannare il colpo d’occhio del destinatario.

Al truffatore non interessa la posta in arrivo della casella “rubata” ma quella inviata e interessa poter spedire da quella casella per comunicare con il cliente. Quindi nel momento in cui manda la nuova fattura modificata il suo lavoro è finito, deve solo sperare che nessuno si accorga di nulla e che il bonifico venga eseguito sul nuovo conto.

E’ chiaro che trattandosi di coordinate estere e talvolta con intestazione completamente diversa è possibile intuire qualcosa di strano ma tra migliaia di tentativi qualcuno ci casca, in caso si abbiano a disposizione determinate versioni dei messaggi scambiati e dei log dei server di posta è possibile fare denuncia e recuperare la somma.

In un rapporto della polizia delle comunicazioni sono indicati 38 milioni ritrovati su 39 denunciati.

Dovete pensare che per il cliente che ha eseguito il bonifico il danno è relativo, ha speso la stessa somma che avrebbe speso comunque e io fornitore non posso esigere da lui un ulteriore pagamento perché se sono riusciti a rubarmi l’identità ho commesso una leggerezza di qualche tipo.

Per questo ora che vi ho annoiati con questo preambolo veniamo al sodo, mettiamoci nei panni dell’azienda la cui identità è stata sottratta e poniamoci le due domande fondamentali:

1 - Come hanno fatto ad intercettare le fatture che ho spedito?

Tutte le possibilità si possono ricondurre a 2 tipi di eventi: infezione o violazione.

• Un’ infezione sul PC del dipendente preposto alla fatturazione, un virus che legge la posta dai client come Outlook e la inoltra verso caselle all’estero tramite server esteri, così facendo sul server aziendale non rimane traccia di questa comunicazione. In questo caso il truffatore è in grado di attivare dei filtri o meglio delle chiavi di ricerca con le quali identifica le mail contenti le informazioni desiderate, che possono essere per esempio le parole “fattura”,”invoice”,”IBAN” e tutte quelle per lui significative. Ecco che così possono intercettare la corrispondenza ed inserirsi al momento giusto e nel modo giusto.
• Una violazione della casella di posta del dipendente preposto alla fatturazione con furto delle credenziali di accesso ID e password. In questo caso il truffatore può avere accesso diretto alla casella configurandosi un proprio client, basta creare delle regole sul contenuto delle mail e sul nome degli allegati per identificare quelle di suo interesse. I modi in cui è possibile rubare le credenziali di accesso sono molteplici:

1.  Phishing, il fornitore del servizio di posta (fasullo) che via mail chiede conferma delle     credenziali  facendo leva su qualche scusa contrattuale. Con un link rimandano ad una pagina web falsa ma identica al sito ufficiale nella quale devono essere inserite.
2. Brute force, tentativi ripetuti raccogliendo informazioni sui social sperando in password deboli e semplici, in questo caso è necessario possedere l’ID utente, troppo spesso corrisponde all’indirizzo email.
3. Keylogger, malware che legge le credenziali inserite da tastiera nelle form di login sulle pagine web e le manda all’esterno.
4. Form Grabbing, malware che legge le credenziali utente inserite nelle form di login sulle pagine web appena prima che il browser le invii. Questa tecnica è stata ideata per quei casi in cui le credenziali vengono inserite con il copia incolla o tramite le tastiere virtuali, metodi pensati per eludere i keylogger. Inoltre questo spy viene effettuato a bordo del browser e quindi prima della trasmissione cifrata (HTTPS) delle credenziali.
5. Altre forme di malware, in grado di leggere le password memorizzate nei browser oppure dagli account di posta configurati su client come Outlook.
6. Furto diretto mirato, molto spesso Outlook utilizza automaticamente le stesse credenziali usate per accedere a Windows e queste sono scritte in foglietti sotto la tastiera o in agende nei cassetti, posti accessibili da colleghi uscenti e scontenti dell’azienda, non sottovalutiamo questa ipotesi.

Quando il truffatore riesce ad avere accesso alla posta inviata o alla casella inizia a studiarla anche per lungo tempo, per replicarne le caratteristiche grafiche e stile di scrittura. In questo modo si prepara per essere credibile e riuscire ad ingannare i destinatari delle sue comunicazioni.

Considerate che questi criminali inizialmente non sanno quali sono gli addetti aziendali che inviano la corrispondenza di loro interesse, quindi lanciano attacchi sul larga scala in attesa di ricevere messaggi interessanti che permettono loro di restringere il cerchio.

Ad ogni modo conducendo qualche indagine e con qualche escamotage non dovrebbe essere troppo difficile trovare l’addetto alla fatturazione!!! Voi che dite?  

E ora passiamo alla domanda successiva...

2 - Come hanno fatto a spacciarsi per me ingannando così bene il mio cliente?

•  Nel caso della violazione la risposta è semplice, potendo accedere alla casella scrivono ai clienti ricordandosi di eliminare la corrispondenza che potrebbe insospettire il proprietario della casella.
• Se la casella dell’utente non è stata violata ma il suo PC è infetto da un malware che invia di nascosto la posta anche al truffatore, gli basta usare lo spoofing. E’ una vecchia tecnica, peraltro molto semplice che permette di inviare una mail cambiando il nome del mittente. Anche in questo caso è possibile prepararsi per tempo in modo da sembrare credibili e portare a termine il tentativo di tuffa.

Allora cosa fare per evitare di cadere in questa situazione? Ecco alcune indicazioni:

• Spedire i documenti ufficiali solamente PEC to PEC e comunicare questa procedura ai propri clienti, in questo caso l’identità delle parti è certificata.
• In alternativa è necessario dotarsi di un sistema/servizio con il quale possiamo mettere a disposizione la fattura tramite un link inviato via mail. Questo sistema deve consentire la trasmissione crittografata del documento oltre che crittografare il documento stesso, inoltre deve implementare una forma di autenticazione sicura di chi vuole accedere. Così facendo il truffatore non ha modo di avere copia del documento da modificare e non può replicare la stessa modalità di messa a disposizione.
• Rendere sicure le credenziali di accesso alla mail, l’ID utente non deve corrispondere al nome della casella altrimenti è già un informazione nota, la password deve essere complessa e non riconducibile a informazioni sul proprietario come la data di nascita. Inoltre deve essere aggiornata periodicamente.
• Le credenziali non devono essere custodite in luoghi accessibili.
• Configurare gli accessi alle caselle con supporti SSL/TLS/HTTPS.
• Installare un antivirus professionale, efficace e mantenerlo aggiornato, sia sul PC che sul firewall perimetrale e sull’antispam.
• Valutare l’acquisto di un prodotto per la rilevazione dei malware ancora sconosciuti (Sandbox).
• Approfondire eventuali notifiche di mancato recapito di email inviate, accertarsi che si riferiscano ad un messaggio effettivamente inviato dall’utente proprietario della casella.
• Controllare periodicamente che sul proprio account non siano attive regole permanenti di inoltro della posta verso un altro indirizzo.
• Mai scrivere a caselle di posta gratuite ma solo a quelle enterprise sulle quali è più probabile che siano presenti controlli anti-spoofing.

 Anche se si tratta di un attacco all’utente il primo passo è un’infezione, che nella maggior parte dei casi viene veicolata tramite una mail precedente, proprio come i Ransomware.

E’ per questo motivo che ti consiglio di iniziare valutando l'efficacia del tuo sistema antispam, in questa guida puoi trovare la descrizione di tutte le funzioni che oggi non devono assolutamente mancare.

q